Аудит почтовых ящиков — одна из функций, о которых администраторам обычно известно мало, если только не возникает необходимости срочно изучить вопрос. Допустим, главный управляющий просыпается и обнаруживает исчезновение некоторых писем. Конечно, руководитель не мог удалить что-то по ошибке! Причина — в программном обеспечении или действиях лиц, имеющих доступ к почтовому ящику. Аудит может помочь определить, что происходит, но только если он включен. Однако иногда отчеты аудита почтовых ящиков не содержат достаточной информации об обнаруженных элементах.
Exchange 2010 — первая версия продукта, в которой появился аудит почтовых ящиков. К сожалению, немногое изменилось с тех пор как в «облачном», так и в локальном варианте. Это не предвещает ничего хорошего, если принять во внимание общий подход Microsoft к выполнению требований законодательных актов.
Проблема элементов аудита, которые не отражаются в результатах поиска немедленно, существует и сегодня как в Exchange Online, так и в новейших версиях локального продукта.
Как ни странно, если использовать команду Get-MailboxFolderStatistics для просмотра числа элементов в папке Audits (в разделе «Элементы с возможностью восстановления»), то события аудита становятся доступны спустя небольшое время после того, как пользователь выполняет подлежащее аудиту действие. Я подозревал, что команда Get-MailboxFolderStatistics выдает ошибочные результаты. Теперь это подозрение окрепло, особенно если взглянуть на недавние события аудита. Более надежные результаты можно получить, если подождать пару часов.
Я получил от компании LOGbinder, занимающейся управлением инцидентами и событиями безопасности, интереснейший пресс-релиз, в котором говорилось, что команды запросов Microsoft Exchange Server выдают непредсказуемые и неполные результаты при аудите действий, выполненных в предыдущие 24 часа во всех почтовых ящиках. Там же сообщалось, что компания Microsoft поставлена в известность об ошибке и «предложила в качестве меры по предотвращению ошибки 24-часовую задержку поиска при аудите почтовых ящиков».
По мнению специалистов LOGbinder, неприемлемо ждать 24 часа перед просмотром журналов аудита: «За это время все содержимое почтового ящика главного управляющего может быть загружено злоумышленником, укрывшимся в иностранном посольстве».
Новость не вызвала у меня большого удивления, что привело в недоумение сотрудника, приславшего мне пресс-релиз. Но дело в том, что недостатки поиска Search-MailboxAuditLog уже не раз обсуждались на многих конференциях. Как бы то ни было, в блоге технического директора LOGbinder Рэнди Франклина Рузвельта (https://www.logbinder.com/Blog) отмечается, что «ошибка оказывает огромное влияние на бизнес, процедуры выполнения требований законодательных актов и безопасность». На мой взгляд, это преувеличение, так как данная ошибка известна уже шесть лет. Однако вы можете составить собственное мнение по этому вопросу.
Как я уже отмечал, в аудите почтовых ящиков изменилось немногое. Впрочем, есть небольшие изменения в Office 365, где аудит почтовых ящиков в изначальном виде доступен локальным администраторам, и в недавно обновленном отчете об активности в Office 365 (https://blogs.office.com/2015/07/08/announcing-new-activity-logging-and-reporting-capabilities-for-office-365/), доступном через центр соответствия требованиям (в скором времени он будет переименован в Office 365 Protection Center). Следует также отметить, что теперь возможен аудит действий владельца Office 365. Это всегда было можно делать локально, но не в «облаке». Таким образом, устранены барьеры, препятствующие записи инициируемых владельцем событий.
Информация для отчета об активности в Office 365 извлекается из хранилища данных для событий, полученных от различных рабочих приложений, выполняемых службой. Один источник — события аудита почтовых ящиков Exchange. В новой версии отчета об активности можно просматривать события, относящиеся к SharePoint, OneDrive для бизнеса, Azure Active Directory и Exchange, и при необходимости экспортировать подробности в CSV-файл. Однако недостаток текущей версии, доступной клиентам первого выпуска, состоит в зависимости от данных, предоставляемых событиями аудита почтовых ящиков. Если события не содержат нужную информацию или некоторые события отсутствуют (поскольку еще не были извлечены), то вы не получите полной картины.
Компании Microsoft прекрасно известно, что аудит почтовых ящиков нуждается в усовершенствовании. Предполагалось, что архитектура Unified Auditing, созданная для Office 365, должна обеспечить аудит в режиме реального времени, но этого не произошло, по крайней мере для событий аудита почтовых ящиков Exchange.
Какой вывод можно сделать из всего сказанного? В первую очередь, не следует полагаться на поиск событий аудита почтовых ящиков, зарегистрированных в последнее время. Если вы намерены выполнить поиск, подождите немного, прежде чем начинать. Кроме того, я надеюсь, что работа, которую Microsoft ведет на основе системы Unified Auditing для Office 365, позволит решить проблемы, затрудняющие аудит почтовых ящиков.